.云計算技術(shù)是IT產(chǎn)業(yè)界的一場技術(shù)革命，已經(jīng)成為了IT行業(yè)未來發(fā)展的方向。無論是基于開放網(wǎng)絡(luò)環(huán)境對公眾開放云服務(wù)的公有云，還是為企業(yè)內(nèi)部用戶提供服務(wù)的私有云，都需要通過構(gòu)建不同規(guī)模的數(shù)據(jù)中心作為提供云服務(wù)的基礎(chǔ)設(shè)施支撐。而虛擬化技術(shù)已經(jīng)成為構(gòu)建云計算數(shù)據(jù)中心的關(guān)鍵技術(shù)。

　　通過不同層次的計算資源、存儲資源和網(wǎng)絡(luò)通信資源的虛擬化實現(xiàn)資源池化，使云計算能夠在基礎(chǔ)設(shè)施層面實現(xiàn)平臺化服務(wù)(IaaS)，如AmazonEC2、IBMBlueCloud、CiscoUCS等典型的IaaS產(chǎn)品。

　　使用云計算數(shù)據(jù)中心服務(wù)的用戶，需要基于瘦客戶端、移動云終端等設(shè)備完成接入，訪問其虛擬化計算資源，并進(jìn)一步使用各種云計算服務(wù)。

　　云計算數(shù)據(jù)中心可以為不同的用戶群提供不同的服務(wù)，用戶群之間、用戶群內(nèi)用戶彼此之間已經(jīng)沒有了明確的物理邊界，而是基于虛擬化技術(shù)實現(xiàn)必要的安全隔離，這種隔離是否具備足夠的安全性，用戶數(shù)據(jù)是否具有足夠的隱私保護(hù)和訪問可控性，這些虛擬化安全問題已經(jīng)成為云計算是否能夠取得廣泛應(yīng)用突破的關(guān)鍵。

　　如何讓云中各種類型的用戶盡可能安全地使用網(wǎng)絡(luò)，如何讓用戶無縫地接入和使用云計算服務(wù)，如何通過虛擬化網(wǎng)絡(luò)技術(shù)提高數(shù)據(jù)中心網(wǎng)絡(luò)構(gòu)建靈活性、擴展性的同時，解決好網(wǎng)絡(luò)安全問題，已經(jīng)成為采用虛擬化技術(shù)構(gòu)建云計算數(shù)據(jù)中心所必須要解決的問題。當(dāng)前主流廠商有基于VLAN安全區(qū)化、防火墻虛擬化等網(wǎng)絡(luò)安全技術(shù)對云計算數(shù)據(jù)中心所采用的虛擬化網(wǎng)絡(luò)進(jìn)行保護(hù)，但仍然未能解決好用戶訪問的可信以及數(shù)據(jù)交互的機密性、可控性等問題。

　　文中在研究基于虛擬化網(wǎng)絡(luò)的云計算數(shù)據(jù)中心典型架構(gòu)與訪問應(yīng)用模式的基礎(chǔ)上，從用戶安全接入、通信隔離與機密性保護(hù)等方面分析了數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)安全需求，提出了虛擬化網(wǎng)絡(luò)安全技術(shù)框架，重點針對基于密碼技術(shù)強化虛擬化網(wǎng)絡(luò)安全，保障虛擬機之間的通信保護(hù)、信息隔離與安全交換等安全機制進(jìn)行了分析與設(shè)計，提出了一種可供參考的解決方案。

　　1云計算虛擬化網(wǎng)絡(luò)技術(shù)及安全需求分析

　　1.1云計算虛擬化網(wǎng)絡(luò)典型結(jié)構(gòu)與訪問應(yīng)用模式

　　云計算的基礎(chǔ)架構(gòu)主要包含計算(服務(wù)器)、網(wǎng)絡(luò)和存儲。對于網(wǎng)絡(luò)，從云計算整個生態(tài)環(huán)境上來說，可以分為3個層面，數(shù)據(jù)中心網(wǎng)絡(luò)、跨數(shù)據(jù)中心網(wǎng)絡(luò)以及泛在的云接入網(wǎng)絡(luò)。

　　其中數(shù)據(jù)中心網(wǎng)絡(luò)包括連接計算主機、存儲和4到7層服務(wù)器(如防火墻、負(fù)載均衡、應(yīng)用服務(wù)器、IDS/IPS等)的數(shù)據(jù)中心局域網(wǎng)，以及邊緣虛擬網(wǎng)絡(luò)，即主機虛擬化之后，虛擬機之間的多虛擬網(wǎng)絡(luò)交換網(wǎng)絡(luò)，包括分布式虛擬交換機、虛擬橋接和I/O虛擬化等;跨數(shù)據(jù)中心網(wǎng)絡(luò)主要解決數(shù)據(jù)中心間的網(wǎng)絡(luò)連接，實現(xiàn)數(shù)據(jù)中心間的數(shù)據(jù)備份、數(shù)據(jù)遷移、多數(shù)據(jù)中心間的資源優(yōu)化以及多數(shù)據(jù)中心混合業(yè)務(wù)提供等;泛在的云接入網(wǎng)絡(luò)用于數(shù)據(jù)中心與終端用戶互聯(lián)，為公眾用戶或企業(yè)用戶提供云服務(wù)。

　　在此，主要探討使用虛擬化網(wǎng)絡(luò)技術(shù)實現(xiàn)的數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)架構(gòu)及其訪問應(yīng)用方式。因為，數(shù)據(jù)中心大量的虛擬機通過虛擬化網(wǎng)絡(luò)訪問計算資源的安全可控問題，是解決云計算虛擬化網(wǎng)絡(luò)安全問題的關(guān)鍵。數(shù)據(jù)中心網(wǎng)絡(luò)包括核心層交換機、接入層交換機和虛擬交換機。在使用云計算后，數(shù)據(jù)中心的網(wǎng)絡(luò)需要解決數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)同步傳送的大流量、備份大流量、虛擬機遷移大流量問題，因此要求核心層網(wǎng)絡(luò)具備超大規(guī)模的數(shù)據(jù)交換能力以及足夠的萬兆接入能力。接入層交換機要求能夠支持各種靈活的部署方式和新的以太網(wǎng)技術(shù)，包括無損以太網(wǎng)技術(shù)等。

　　虛擬交換機是在物理服務(wù)器內(nèi)部通過虛擬機管理器(Hypervisor)層虛擬出相應(yīng)的交換機和網(wǎng)卡功能并實施管理，提供了服務(wù)器內(nèi)多個虛擬主機虛擬網(wǎng)卡(vNIC)的互聯(lián)以及為不同的虛擬網(wǎng)卡流量設(shè)定不同的VLAN標(biāo)簽功能，使得服務(wù)器內(nèi)部如同存在一臺交換機，可以方便地將不同的網(wǎng)卡連接到不同的端口。Hypervisor為每個VM(虛擬主機)創(chuàng)建一個或者多個vNICs，聯(lián)接Hypervisor中的虛擬交換機，從而支持VM間的通信。Hypervisor還允許虛擬交換機和物理網(wǎng)絡(luò)接口的通信，以及和外部網(wǎng)絡(luò)的高效通信，典型的虛擬交換機如開源的OpenvSwitch。

　　以目前應(yīng)用較成熟的Ctrix基于Xen的虛擬化系統(tǒng)為研究對象(與其他VmwareESX、KVM、Hyper-V等有所不同，可參考思路)，分析用戶聯(lián)接虛擬化用戶終端，并進(jìn)一步訪問數(shù)據(jù)中心計算資源的典型框架如圖2所示。

　　首先遠(yuǎn)程用戶基于瘦客戶端，基于ICA等遠(yuǎn)程桌面協(xié)議(Vmware用PCoIP)訪問數(shù)據(jù)中心服務(wù)器上的用戶虛擬終端。ICA協(xié)議是基于Xen的Ctrix虛擬化系統(tǒng)的專有協(xié)議，將顯示器、鍵盤、鼠標(biāo)操作信息與服務(wù)器端管理域交互，可以在Hypervisor上創(chuàng)建、中止相應(yīng)的虛擬化終端系統(tǒng)，獲得與本地化計算機終端操作相同的使用體驗。同時，管理域OS上還運行了所有外設(shè)的實際驅(qū)動程序，通過后端驅(qū)動模塊與系列客戶終端虛擬機OS上運行的前端驅(qū)動模塊進(jìn)行交互，實現(xiàn)對各客戶終端虛擬機設(shè)備驅(qū)動的支持。

　　其次，用戶虛擬終端機之間通過虛擬網(wǎng)卡、虛擬化交換機(包括跨物理服務(wù)器的分布式虛擬化交換機)，實現(xiàn)虛擬終端之間以及用戶虛擬終端與虛擬應(yīng)用服務(wù)器之間的高速網(wǎng)絡(luò)數(shù)據(jù)交互，實現(xiàn)基于虛擬化的數(shù)據(jù)集中應(yīng)用，并訪問各種應(yīng)用服務(wù)器，或進(jìn)行用戶虛擬機的遷移等。其中分布式虛擬交換機采用使底層服務(wù)器架構(gòu)更透明的方法，支持不同物理服務(wù)器上虛擬交換機的跨服務(wù)器橋接，使一個服務(wù)器中的虛擬交換機能夠透明地和其他服務(wù)器中的虛擬交換機連接，使服務(wù)器間(以及它們的虛擬接口)的VM遷移更簡單。

　　1.2虛擬化網(wǎng)絡(luò)安全需求

　　虛擬化終端應(yīng)用模式實現(xiàn)了數(shù)據(jù)集中應(yīng)用，并提供了用戶間的數(shù)據(jù)隔離，同時又以虛擬交換機實現(xiàn)了用戶間的數(shù)據(jù)交互。虛擬交換機與實體交換機一樣，還提供VLan、ACL、虛擬機端口的流量策略管理、QoS等機制。根據(jù)上述云計算用戶使用數(shù)據(jù)中心的虛擬化終端，并通過虛擬化網(wǎng)絡(luò)進(jìn)行應(yīng)用訪問的典型模式描述，這里對云計算虛擬化網(wǎng)絡(luò)安全的需求進(jìn)行了如下分析歸納：

　　1)用戶接入的網(wǎng)絡(luò)安全需求。應(yīng)該保障虛擬化用戶能夠可信、可控、安全地接入數(shù)據(jù)中心啟用其對應(yīng)的終端虛擬機系統(tǒng)。應(yīng)該強化用戶接入數(shù)據(jù)中心的認(rèn)證與訪問控制，提供ICA等遠(yuǎn)程桌面協(xié)議的機密性保護(hù)。

　　2)虛擬機之間的網(wǎng)絡(luò)安全需求。與傳統(tǒng)的安全防護(hù)不同，虛擬機環(huán)境下，同臺物理服務(wù)器虛擬成多臺VM以后，VM之間的流量交換基于虛擬交換機進(jìn)行交換，管理員對于該部分流量既不可控也不可見，但實際上根據(jù)需要，不同的VM之間需要劃分到不同的安全域，進(jìn)行隔離和訪問控制，應(yīng)提供保證虛擬機之間交互數(shù)據(jù)的機密性保護(hù)機制，避免通過虛擬交換機的混雜模式端口映射機制監(jiān)聽到所有不同用戶群組的虛擬機之間的通信數(shù)據(jù)。

　　此外，還應(yīng)該為虛擬機的遷移提供安全的數(shù)據(jù)傳輸通道，避免遷移過程(往往是跨物理服務(wù)器乃至跨數(shù)據(jù)中心的)造成用戶數(shù)據(jù)泄露。

　　3)數(shù)據(jù)中心之間的網(wǎng)絡(luò)安全需求。數(shù)據(jù)中心之間會有計算或存儲資源的遷移和調(diào)度，對于大型的集群計算，一般采用構(gòu)建大范圍的二層互聯(lián)網(wǎng)絡(luò)(包括跨數(shù)據(jù)中心的分布式虛擬交換機)，對于采用多個虛擬數(shù)據(jù)中心提供云計算服務(wù)，可以構(gòu)建路由網(wǎng)絡(luò)(三層)連接。需要對數(shù)據(jù)中心網(wǎng)絡(luò)邊界進(jìn)行防火墻、入侵檢測等常規(guī)網(wǎng)絡(luò)安全防護(hù)，同時對跨數(shù)據(jù)中心交互的數(shù)據(jù)進(jìn)行機密性保護(hù)。

　　2基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全解決方案

　　2.1基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全方案框架

　　基于前述典型虛擬化網(wǎng)絡(luò)安全架構(gòu)與網(wǎng)絡(luò)安全需求分析，文中提出了如圖3所示的基于密碼技術(shù)的虛擬化網(wǎng)絡(luò)安全解決方案。

　　虛擬化網(wǎng)絡(luò)安全技術(shù)框架包括基于UKey的安全虛擬化終端、服務(wù)器端高速密碼模塊(ENC)虛擬化、虛擬機數(shù)據(jù)本機存儲加密、虛擬機之間虛擬化網(wǎng)絡(luò)加密(VPN)、相關(guān)密碼密鑰管理等關(guān)鍵安全機制，從源頭開始，形成了基于密碼技術(shù)的網(wǎng)絡(luò)安全防護(hù)技術(shù)框架，確保了用戶安全地使用云計算數(shù)據(jù)中心的計算資源。

　　2.2網(wǎng)絡(luò)安全機制設(shè)計

　　2.2.1基于UKey的安全虛擬化終端

　　用戶通過廋客戶機，基于ICA等遠(yuǎn)程桌面訪問數(shù)據(jù)中心虛擬機管理系統(tǒng)，使用相應(yīng)的虛擬化用戶終端。根據(jù)安全需求分析，應(yīng)該解決好用戶使用虛擬化終端的安全、可信、可控問題。為此，在終端使用UKey，裝載用戶身份證書用于強化身份認(rèn)證，并提供對稱、非對稱密碼運算功能，與虛擬化服務(wù)器端的密碼設(shè)備配合，實現(xiàn)數(shù)據(jù)密碼保護(hù)。安全機制設(shè)計如下：

　　1)vKey的管理。虛擬機管理域運行的vKey管理模塊用于為不同的虛擬化終端分配和管理vKey設(shè)備，并實現(xiàn)與廋客戶端映射過來的USBKey進(jìn)行捆綁。vKey管理模塊通過vKey后端驅(qū)動與Hypervisor通信，繼而和不同的用戶虛擬化終端通信。當(dāng)用戶虛擬終端需要訪問vKey設(shè)備時，vKey前端驅(qū)動將密碼功能調(diào)用命令通過事件通道發(fā)送給vKey后端驅(qū)動;vKey后端驅(qū)動根據(jù)事件通道號找到相對應(yīng)的vKey設(shè)備標(biāo)識號，并填寫入請求包，然后將請求包發(fā)給vKey管理模塊;vKey管理模塊根據(jù)設(shè)備標(biāo)識，將指令傳遞給相應(yīng)的vKey模塊(vKey1-vKeyN)，進(jìn)一步通過UKey真實驅(qū)動，基于ICA等協(xié)議的USBKey映射實現(xiàn)與廋客戶機上的USBKey進(jìn)行命令交互。處理完成后，vKey管理模塊進(jìn)一步通過vKey后端驅(qū)動和前端驅(qū)動將處理結(jié)果返回給用戶虛擬化終端。

　　2)認(rèn)證。對廋客戶端與虛擬化服務(wù)器端的ICA軟件模塊進(jìn)行改造，將原有用戶名口令認(rèn)證方式，升級為廋客戶端與虛擬化服務(wù)器端基于UKey內(nèi)用戶數(shù)字證書的認(rèn)證方式?？蛻舳薝Key中與虛擬化服務(wù)器端都存有證書管理系統(tǒng)頒發(fā)的數(shù)字證書，實現(xiàn)雙向?qū)嶓w認(rèn)證。認(rèn)證交互過程的密碼運算分別由客戶端的UKey以及服務(wù)器內(nèi)置的密碼模塊實現(xiàn)。完成基于數(shù)字證書的雙向認(rèn)證后，虛擬化服務(wù)器上的虛擬終端管理域必須完成多個用戶UKey(對應(yīng)到管理域的vKey)與多個虛擬化客戶端配置信息的一一對應(yīng)捆綁，保障通過認(rèn)證的遠(yuǎn)程用戶能夠使用與其身份信息對應(yīng)的個性化虛擬終端。

　　3)通信加密。ICA等遠(yuǎn)程桌面協(xié)議提供了可配置的加密機制，如SecureICA，用于在ICA客戶端和服務(wù)器端協(xié)議數(shù)據(jù)的加密。如果與Ctrix等廠商深入合作，可以進(jìn)一步升級完善加密機制，使密碼算法符合相關(guān)應(yīng)用領(lǐng)域的密碼要求(如替換為商用領(lǐng)域的標(biāo)準(zhǔn)SM1-SM4密碼算法)，從而由UKey和服務(wù)器端密碼模塊內(nèi)置的特定密碼算法，實現(xiàn)ICA協(xié)議數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)。

　　2.2.2服務(wù)器端高速密碼模塊虛擬化

　　顯然，服務(wù)器端的高速密碼模塊需要實現(xiàn)密碼模塊的虛擬化——密碼模塊資源池化，能夠為包括管理域OS及用戶虛擬化終端提供多個vENC模塊，結(jié)合vKey實現(xiàn)用戶各自的密鑰管理，滿足對虛擬機系統(tǒng)多租戶的密碼服務(wù)支持。具體機制說明如下：

　　1)虛擬機管理器(Xen)之上的管理域包含ENC的物理驅(qū)動程序(ENC真實驅(qū)動)和vENC后端驅(qū)動。每個用戶虛擬化終端或虛擬化服務(wù)器系統(tǒng)包含vENC前端驅(qū)動，這個驅(qū)動程序與管理域的ENC驅(qū)動程序(稱為準(zhǔn)虛擬化或PV驅(qū)動程序)配合工作，實現(xiàn)ENC模塊面向多用戶虛擬機或服務(wù)器的設(shè)備虛擬支持。

　　2)進(jìn)一步可采用一種適合服務(wù)器I/O虛擬化的Single-RootI/OVirtualization(SR-IOV)技術(shù)，允許虛擬機管理器(hypervisor)簡單地將ENC虛擬功能映射到VM上，以實現(xiàn)本機ENC設(shè)備性能和隔離安全效果，不需要任何透傳技術(shù)就能達(dá)到很高的性能。

　　3)ENC模塊本身可以采用對多租戶并發(fā)使用的密鑰管理機制。通過設(shè)置可并發(fā)支持的用戶密鑰空間(如32組、64組用戶密鑰并發(fā)支持)，接收來自不同用戶虛擬機vKey上存放的工作密鑰(U-WK)。ENC模塊本身也通過證書管理系統(tǒng)獲得自身的設(shè)備證書及公私鑰對(PKENC/SK-ENC，其中私鑰SK-ENC安全內(nèi)置在ENC模塊中)。vKey通過將U-WK基于ENC模塊的公鑰加密得到U-WK’=ECC(PK-ENC，U-WK)(假設(shè)采用的是ECC橢圓曲線公鑰密碼算法)，將U-WK’置入ENC模塊的用戶密鑰空間中，使ENC模塊能夠高效地實現(xiàn)多租戶數(shù)據(jù)加密的并發(fā)支持。

　　2.2.3虛擬機數(shù)據(jù)本機存儲加密

　　虛擬化數(shù)據(jù)集中應(yīng)用情況下，用戶數(shù)據(jù)通過虛擬機之間的隔離機制實現(xiàn)了一定程度的隔離保護(hù)，但總體而言，明態(tài)存在于數(shù)據(jù)中心服務(wù)器端，這對于云服務(wù)的推廣造成困難?？梢圆捎肬Key映射為相應(yīng)虛擬化終端的vKey后，利用建立虛擬加密磁盤或文件系統(tǒng)加密(類似EFS)等機制，實現(xiàn)用戶虛擬機終端上存儲數(shù)據(jù)的本地加密。但由于采用ICA等協(xié)議映射及大量網(wǎng)絡(luò)數(shù)據(jù)交互的原因，必然導(dǎo)致實際效率降低。為此，可以將vKey與服務(wù)器上的高速密碼模塊(ENC)結(jié)合，利用vKey管理和加載用戶密鑰以及ENC虛擬化后提供給用戶虛擬機終端上的vENC設(shè)備，實現(xiàn)用戶虛擬化終端本地數(shù)據(jù)存儲的加密，這樣存儲加密效率將大為提高。

　　2.2.4虛擬化網(wǎng)絡(luò)加密VPN

　　如前面的需求分析，虛擬化用戶終端系統(tǒng)彼此之間以及與虛擬化服務(wù)器系統(tǒng)之間的網(wǎng)絡(luò)數(shù)據(jù)傳輸通過虛擬交換機進(jìn)行，雖然具備和內(nèi)存帶寬相當(dāng)?shù)母咚俳粨Q能力，但缺少機密性保護(hù)，需要從網(wǎng)絡(luò)通信的源頭——虛擬機系統(tǒng)，實現(xiàn)VPN網(wǎng)絡(luò)加密機制，保障用戶虛擬機端到端的網(wǎng)絡(luò)通信安全，具體安全機制說明如下：

　　1)虛擬機間端到端VPN網(wǎng)絡(luò)加密。

　　可以通過虛擬機管理域的VM管理模塊，為虛擬機配置網(wǎng)絡(luò)安全策略，虛擬機啟動運行后通過安全策略執(zhí)行模塊執(zhí)行這些網(wǎng)絡(luò)安全策略。網(wǎng)絡(luò)安全策略可以針對一個用戶群組的用戶統(tǒng)一制定，也可以針對單個用戶虛擬機單獨制定。安全策略內(nèi)容包括虛擬機應(yīng)該針對哪些網(wǎng)絡(luò)明通、哪些網(wǎng)絡(luò)密通、密通時采用隧道還是傳輸封裝模式、網(wǎng)絡(luò)加密工作密鑰的更換周期、哪些情況下阻斷網(wǎng)絡(luò)訪問以及缺省情況下網(wǎng)絡(luò)訪問策略等。用戶虛擬機上的安全策略執(zhí)行模塊通過在虛擬機網(wǎng)絡(luò)協(xié)議棧上進(jìn)行過濾的方式進(jìn)行網(wǎng)絡(luò)訪問策略判別與安全處理(Linux系統(tǒng)采用在NetFilter框架中增加VPN處理模塊實現(xiàn)，Windows系統(tǒng)采用加載基于NDIS的VPN處理模塊實現(xiàn))。對于需要加密的數(shù)據(jù)包，采用vENC提供的加密調(diào)用接口進(jìn)行加密后發(fā)出;對于需要接收并解密的數(shù)據(jù)包，同樣調(diào)用相應(yīng)的解密接口脫密后提交給用戶虛擬機上層協(xié)議棧。安全策略執(zhí)行模塊根據(jù)安全策略，通過網(wǎng)絡(luò)協(xié)議層IP數(shù)據(jù)包過濾并自動觸發(fā)的方式，對需要執(zhí)行加密策略而尚無相應(yīng)工作密鑰(N-WK)的數(shù)據(jù)，由協(xié)議過濾模塊觸發(fā)事件，啟動安全策略執(zhí)行模塊應(yīng)用層的密鑰協(xié)商或密鑰交換過程?？稍趯Ψ浇粨Q的證書公鑰保護(hù)下完成N-WK的交換，并按照安全策略要求定時更換N-WK。

　　2)跨數(shù)據(jù)中心的VPN保護(hù)。由于跨數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)邊界比較明確，其網(wǎng)絡(luò)數(shù)據(jù)傳輸密碼保護(hù)可以采用常規(guī)的VPN來解決。

　　3)基于VPN通道保護(hù)下的虛擬機遷移安全。針對跨物理服務(wù)器進(jìn)行虛擬機遷移，主要通過虛擬機管理域之間的通信來實現(xiàn)。不同物理服務(wù)器的虛擬機管理域之間可采用類似用戶虛擬機之間構(gòu)建端到端加密VPN通道的方式，構(gòu)建網(wǎng)絡(luò)安全傳輸通道。通過虛擬機管理域之間的VPN通道，使用戶虛擬機在實施運行態(tài)遷移時，所有需要傳遞的狀態(tài)信息、用戶數(shù)據(jù)信息、網(wǎng)絡(luò)配置信息、安全策略信息等獲得加密保護(hù)。

　　2.3相關(guān)密碼密鑰管理

　　上述基于密碼技術(shù)的虛擬化終端及網(wǎng)絡(luò)安全機制，都需要解決好密碼密鑰管理的問題[6]，分別說明如下：

　　1)針對ICA協(xié)議加密的密鑰管理。ICA協(xié)議的加密在廋客戶機與虛擬機管理域之間進(jìn)行?？蛻舳薝Key中與服務(wù)器的密碼模塊ENC中都存有證書管理系統(tǒng)頒發(fā)的數(shù)字證書，且UKey與ENC模塊都具備對稱密碼運算、簽名驗簽等密碼服務(wù)功能。雙方通過改造ICA協(xié)議，實現(xiàn)基于證書的雙向認(rèn)證，并采用典型的基于證書進(jìn)行對稱密鑰交換的協(xié)議完成ICA協(xié)議數(shù)據(jù)加密密鑰的協(xié)商。工作密鑰更換可采用一次(登錄使用)一密的方式。

　　2)針對用戶數(shù)據(jù)存儲加密的密鑰管理。在用戶終端創(chuàng)建虛擬加密磁盤或加載加密文件系統(tǒng)模塊時，通過調(diào)用vKey產(chǎn)生工作密鑰U-WK，基于ICA等協(xié)議的映射關(guān)系，密鑰實際存放在用戶UKey中。并且通過vENC模塊提供的接口，將U-WK基于ENC模塊的公鑰保護(hù)下，置入ENC模塊中供存儲數(shù)據(jù)加密使用，使用完畢后清除ENC中的U-WK，確保用戶數(shù)據(jù)密鑰掌握在自己手中。

　　3)VPN加密時的密鑰協(xié)商與保護(hù)。虛擬機之間建立端到端VPN加密通道，密鑰協(xié)商時采用交換各自用戶UKey中的證書，并基于非對稱密碼體制完成網(wǎng)絡(luò)加密工作密鑰(N-WK)的協(xié)商或交換，N-WK交換時可采用數(shù)字信封的方式保護(hù)。

　　3方案效能與特點分析

　　基于密碼技術(shù)，文中提出了虛擬化網(wǎng)絡(luò)的安全解決方案。該方案能夠為虛擬化網(wǎng)絡(luò)從源頭提供機密性、安全隔離、虛擬機用戶可信認(rèn)證等關(guān)鍵安全保障，解決了限制云計算數(shù)據(jù)中心服務(wù)廣泛應(yīng)用的關(guān)鍵安全風(fēng)險。其安全特點如下：

　　1)為基于虛擬化網(wǎng)絡(luò)構(gòu)建的數(shù)據(jù)中心提供了信息源頭的可信與機密性保障。

　　2)基于虛擬機技術(shù)、用戶虛擬終端存儲加密、端到端網(wǎng)絡(luò)加密機制，在數(shù)據(jù)機制應(yīng)用模式下，提供了用戶終端間計算環(huán)境和數(shù)據(jù)的有效安全隔離，以及安全可控的數(shù)據(jù)交換。

　　3)通過虛擬機管理域之間的網(wǎng)絡(luò)加密通道，提供了虛擬機遷移的安全保障。

　　4)能夠與傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段結(jié)合，適應(yīng)云計算跨多個數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)需求。

　　4結(jié)語

　　安全問題一直是影響云計算應(yīng)用發(fā)展的關(guān)鍵問題?；谔摂M化網(wǎng)絡(luò)技術(shù)構(gòu)建數(shù)據(jù)中心，滿足數(shù)據(jù)集中安全應(yīng)用需要，是一種典型的適應(yīng)未來規(guī)?；?、網(wǎng)絡(luò)化云應(yīng)用的模式。文中基于密碼技術(shù)提出了虛擬化網(wǎng)絡(luò)安全解決方案框架，對構(gòu)建安全的云計算基礎(chǔ)設(shè)施(IAAS)有重要參考價值。下一步應(yīng)研究該方案與其他網(wǎng)絡(luò)安全機制(如防火墻、IDS)的虛擬化(資源池化)技術(shù)的結(jié)合，共同構(gòu)建具備綜合網(wǎng)絡(luò)安全防護(hù)效能的虛擬化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

　　核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。